MỤC LỤC LỜI NÓI ĐẦU NHỮNG TỪ VIẾT TẮT VÀ ĐỊNH NGHĨA DANH MỤC CÁC BẢNG BIỂU, HÌNH ẢNH DANH MỤC CÁC PHỤ LỤC 10 Phần 1: NỘI DUNG CƠ BẢN 11 Chƣơng 1: Khái quát tiêu chuẩn ISO/IEC 27000 11 Giới thiệu Tổ chức quốc tế tiêu chuẩn hóa ISO 11 Quá trình hình thành phát triển tiêu chuẩn ISO/IEC 27000 14 Phạm vi, mục đích, đối tƣợng áp dụng tiêu chuẩn ISO/IEC 27001 19 Những lợi ích việc áp dụng ISMS theo ISO/IEC 27001 20 Tình hình áp dụng ISO/IEC 27001 giới 21 Chƣơng 2: Tóm tắt nội dung tiêu chuẩn ISO/IEC 27001:2013 hƣớng dẫn cách thức đáp ứng yêu cầu tiêu chuẩn 26 Cấu trúc ISO/IEC 27001:2013 26 Giải thích yêu cầu tiêu chuẩn ISO/IEC 27001:2013 hƣớng dẫn cách thức thực 29 Lộ trình triển khai hệ thống quản lý ATTT theo ISO/IEC 27001:2013 107 Phần 2: HƢỚNG DẪN TRIỂN KHAI ISO/IEC 27001:2013 TẠI DOANH NGHIỆP 110 Chƣơng 1: Tóm tắt q trình triển khai ISO/IEC 27001:2013 doanh nghiệp 110 Các giai đoạn triển khai ISO/IEC 27001:2013 110 Kế hoạch tổng thể triển khai ISO/IEC 27001:2013 111 Chƣơng 2: Hƣớng dẫn cách thực dự án ISMS tổ chức, doanh nghiệp, lợi ích dự kiến thu đƣợc yếu tố đảm bảo thực thành công 122 Hƣớng dẫn cách thực số kết đầu theo bƣớc triển khai Kế hoạch tổng thể xây dựng, thực ISO/IEC 27001:2013 122 Một số yếu tố định thành công việc thực ISMS theo ISO/IEC 27001 123 Phần 3: THỰC TIỄN TRIỂN KHAI ÁP DỤNG THỬ NGHIỆM HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN THEO ISO/IEC 27001 TẠI DOANH NGHIỆP 126 Chƣơng 1: Tóm tắt kết triển khai ISO/IEC 27001:2013 doanh nghiệp 126 Chƣơng 2: Một số nhận định học đƣợc rút từ mơ hình thử nghiệm 138 PHỤ LỤC 142 TÀI LIỆU THAM KHẢO 182 LỜI NÓI ĐẦU Xu phát triển kinh tế - xã hội, đặc biệt bối cảnh hội nhập kinh tế toàn cầu nay, chứng minh vai trò, tầm quan trọng phạm vi không ngừng tăng lên việc ứng dụng công nghệ thông tin lĩnh vực, trình, từ cơng việc cá nhân, hoạt động tổ chức, việc vận hành thể chế trị kinh tế - xã hội quốc gia giới Các lợi ích ln song hành mối đe dọa rủi ro an tồn thơng tin ngày cao, dẫn đến hậu ngày nghiêm trọng, gây ảnh hƣởng đến nhiều khía cạnh khác tổ chức, doanh nghiệp nhƣ làm gián đoạn trình kinh doanh, vi phạm yêu cầu khách hàng, gây tổn thất tài chính, ảnh hƣởng đến uy tín, thƣơng hiệu đặc biệt dẫn tới vi phạm yêu cầu pháp luật Để chủ động kiểm sốt, phịng ngừa, hạn chế hậu từ việc an tồn thơng tin, tổ chức, doanh nghiệp với nguồn lực mình, có cách thức, phƣơng pháp tiếp cận kiểm sốt rủi ro an tồn thơng tin mức độ khác Tiêu chuẩn ISO/IEC 27001 đến đƣợc chấp nhận quy mô toàn cầu nhƣ phƣơng pháp quản lý, kiểm sốt rủi ro an tồn thơng tin cách chặt chẽ, có hệ thống mang lại nhiều lợi ích cho tổ chức áp dụng bên liên quan Cuốn sách nhỏ nhằm mục đích cung cấp thông tin liên quan đến tiêu chuẩn ISO/IEC 27000 lĩnh vực an tồn thơng tin hƣớng dẫn bƣớc hoạch định, xây dựng, vận hành hệ thống quản lý an tồn thơng tin tổ chức, doanh nghiệp phù hợp với yêu cầu ISO/IEC 27001 để bảo vệ tài sản thông tin phục vụ cho hoạt động sản xuất, cung cấp dịch vụ Chúng tơi mong nhận đƣợc ý kiến đóng góp bạn đọc để nội dung sách tiếp tục đƣợc cải thiện lần tái bản./ Ban biên soạn NHỮNG TỪ VIẾT TẮT VÀ ĐỊNH NGHĨA ISO : International Organization for Standardization/Tổ chức quốc tế Tiêu chuẩn hóa IEC : International Electrotechnical Commission/Ủy ban kỹ thuật điện quốc tế IS : International Standard/Tiêu chuẩn quốc tế TC : Technical Committee/Ủy ban Kỹ thuật (của ISO) SC : Sub-committee/Tiểu ban (thuộc TC ISO) Các Ủy ban kỹ thuật ISO IEC hợp tác lĩnh vực mà hai bên quan tâm Trong lĩnh vực công nghệ thông tin (Information Technology/IT), ISO IEC thành lập Ủy ban kỹ thuật phối hợp (Joint technical committee), viết tắt ISO/IEC JTC Tiểu ban kỹ thuật SC 27 (IT Security techniques - Các kỹ thuật an toàn) thuộc ISO/IEC JTC Tiểu ban chịu trách nhiệm việc phát triển tiêu chuẩn ISO/IEC 27001 PDC : Policy Development Committee/Ủy ban Phát triển sách (của ISO) MOST : Ministry of Science and Technology/Bộ Khoa học Công nghệ STAMEQ : Directorate for Standards, Metrology and Quality/Tổng cục Tiêu chuẩn Đo lƣờng Chất lƣợng ATTT : An tồn thơng tin ISMS : Information Security Management System/Hệ thống quản lý an tồn thơng tin P-D-C-A : Plan - Do - Check - Act/Hoạch định - Thực - Kiểm tra - Hành động cải tiến (Chu trình cải tiến liên tục) C : Confidentiality/Tính bảo mật I : Integrity/Tính tồn vẹn A : Availability/Tính sẵn có RTP : Risk Treatment Plan/Kế hoạch xử lý rủi ro SoA : Statement Of Applicability/Thông báo việc áp dụng DANH MỤC CÁC BẢNG BIỂU, HÌNH ẢNH Bảng: Bảng 1-1 : Tóm tắt mức độ hình thức tham gia STAMEQ vào hoạt động phát triển tiêu chuẩn ISO (tính đến tháng 4/2019) 13 Bảng 1-2 : Tình trạng ban hành số tiêu chuẩn tiêu chuẩn ISO/IEC 27000 đến 4/2019 16 Bảng 1-3 : Số lƣợng chứng đƣợc cấp theo hệ thống quản lý phổ biến dựa tiêu chuẩn ISO 22 Bảng 1-4 : Nhóm 10 quốc gia có số chứng ISO/IEC 27001 cao giới theo thống kê năm 2016 23 Bảng 1-5 : Số chứng ISO/IEC 27001 đƣợc cấp khu vực Đơng Á Thái Bình Dƣơng năm 2016 2017 24 Bảng 1-6 : Bảng trình bày điều khoản tiêu chuẩn ISO/IEC 27001:2013 26 Bảng 2-1 : Kế hoạch tổng thể triển khai xây dựng, áp dụng hệ thống quản lý ATTT theo ISO/IEC 27001:2013 doanh nghiệp 112 Hình: Hình 1-1 : Tỉ lệ % tiêu chuẩn quốc tế ISO đƣợc đƣợc ban hành theo lĩnh vực 12 Hình 1-2 : Khái quát nhóm tiêu chuẩn thành phần tiêu chuẩn ISO/IEC 27000 15 Hình 1-3 : Cấu trúc yêu cầu ISO/IEC 27001:2013 theo Chu trình P-D-C-A 28 Hình 1-4 : Sơ đồ lộ trình triển khai hệ thống quản lý ATTT theo ISO/IEC 27001:2013 108 DANH MỤC CÁC PHỤ LỤC Phụ lục : Quyết định thành lập Ban điều hành triển khai thực ISMS theo ISO/IEC 27001:2013 142 Phụ lục : Quyết định phân cơng vai trị Lãnh đạo an tồn thơng tin theo ISO/IEC 27001:2013 145 Phụ lục : Quyết định thành lập Tổ thư ký ISO/IEC 27001:2013 147 Phụ lục : Báo cáo đánh giá thực trạng dựa theo yêu cầu ISO/IEC 27001:2013 (Gap Analysis) 149 Phụ lục : Phạm vi áp dụng ISMS (ví dụ minh họa) 151 Phụ lục : Kế hoạch xây dựng hệ thống văn ISMS 152 Phụ lục : Chính sách chung ATTT 155 Phụ lục : Bảng kiểm kê tài sản thông tin 157 Phụ lục : Bảng đánh giá rủi ro ATTT 158 Phụ lục 10 : Mục tiêu ATTT 159 Phụ lục 11 : Kế hoạch xử lý rủi ro ATTT 164 Phụ lục 12 : Bản Thông báo việc áp dụng SoA 165 Phụ lục 13 : Chính sách kiểm sốt ATTT cụ thể - ví dụ Chính sách an tồn nguồn nhân lực kết thúc cơng việc 167 Phụ lục 14 : Kế hoạch đo lường hiệu lực ISMS 173 Phụ lục 15 : Hoạch định cụ thể đo lường hiệu lực ISMS - đo lường chất lượng mật 175 Phụ lục 16 : Kế hoạch đánh giá nội ISMS 178 10  Các báo cáo đánh giá, kèm theo kết đánh giá phải đƣợc gửi đến cho lãnh đạo cao  Tổ chức phải xem xét kết đánh giá trƣớc điều chỉnh chƣơng trình đánh giá để quản lý tốt khu vực có rủi ro cấp độ cao nảy sinh từ vấn đề không phù hợp Các hoạt động theo yêu cầu tiêu chuẩn:  Lãnh đạo cao phải định kỳ xem xét ISMS Giải thích: 9.3 Xem xét lãnh đạo  Mục đích xem xét lãnh đạo nhằm đảm bảo ISMS tiếp tục phù hợp, thỏa đáng có hiệu lực Phù hợp hàm ý việc tiếp tục quán với mục tiêu tổ chức Thỏa đáng hiệu lực hàm ý đến thiết kế phù hợp gắn kết mặt tổ chức ISMS, nhƣ hiệu lực thực trình biện pháp kiểm sốt đƣợc quy định ISMS  Việc xem xét lãnh đạo trình đƣợc tiến hành cấp độ khác tổ chức Các hoạt động khác từ họp hàng ngày, hàng tuần hàng tháng cấp đơn vị thảo luận đơn giản báo cáo Lãnh đạo cao chịu trách nhiệm cuối hoạt động xem xét lãnh đạo, với đầu vào đến từ tất cấp độ tổ chức Hướng dẫn:  Lãnh đạo cao phải yêu cầu tiến hành xem xét thƣờng xuyên kết thực ISMS Có nhiều cách theo lãnh đạo cao xem xét ISMS, nhƣ 95 việc tiếp nhận xem xét phép đo lƣờng báo cáo, hình thức trao đổi thơng tin điện tử cập nhật thông tin lời trực tiếp  Các đầu vào chủ yếu để xem xét kết đo lƣờng ATTT nhƣ nêu mục 9.1, kết đánh giá nội mục 9.2 kết đánh giá rủi ro tình trạng thực kế hoạch xử lý rủi ro Khi xem xét kết đánh giá rủi ro ATTT tình trạng kế hoạch xử lý rủi ro ATTT, lãnh đạo phải khẳng định rủi ro lại đáp ứng tiêu chí chấp nhận rủi ro, việc kế hoạch xử lý rủi ro xác định tất rủi ro tƣơng ứng giải pháp xử lý rủi ro  Tất khía cạnh ISMS phải đƣợc xem xét lãnh đạo theo tần suất hoạch định, hàng năm, cách thiết lập lịch trình phù hợp cho họp xem xét lãnh đạo Các hệ thống ISMS thiết lập chƣa đạt đƣợc chín muồi phải đƣợc lãnh đạo xem xét theo tần suất dày để giúp tăng cƣờng hiệu lực thực  Chƣơng trình xem xét lãnh đạo phải xác định chủ đề sau:  Tình trạng hành động từ lần xem xét lãnh đạo trƣớc đó;  Các thay đổi từ bên ngồi nội (xem mục 4.1) có liên quan đến ISMS;  Phản hồi kết thực ATTT, kể xu hƣớng, về: - Sự không phù hợp hành động khắc phục; 96 - Các kết theo dõi đo lƣờng; - Các kết đánh giá; - Việc thực mục tiêu ATTT  Phản hồi từ bên quan tâm, kể đề xuất cải tiến, yêu cầu thay đổi khiếu nại;  Các kết đánh giá rủi ro ATTT tình trạng việc thực kế hoạch xử lý rủi ro ATTT;  Các hội để cải tiến liên tục, kể cải tiến hiệu ISMS biện pháp kiểm soát ATTT  Các đầu vào cho xem xét lãnh đạo phải cụ thể đến mức cần thiết, theo mục tiêu thiết lập cấp lãnh đạo liên quan đến việc xem xét Ví dụ, lãnh đạo cao phải đánh giá tóm tắt tất nội dung, dựa theo mục tiêu ATTT mục tiêu cấp độ cao  Các đầu từ việc xem xét lãnh đạo phải bao gồm định liên quan đến hội cải tiến liên tục nhu cầu thay đổi ISMS Các đầu bao gồm chứng định liên quan đến:  Các thay đổi Chính sách Mục tiêu ATTT, ví dụ thay đổi nảy sinh từ thay đổi vấn đề bên nội yêu cầu bên quan tâm;  Các thay đổi tiêu chí chấp nhận rủi ro tiêu chí để thực đánh giá rủi ro ATTT (xem mục 6.1.2);  Các hành động, cần, việc đánh giá kết thực ATTT; 97  Các thay đổi nguồn lực hay ngân sách cho ISMS;  Kế hoạch xử lý rủi ro ATTT SoA đƣợc cập nhật;  Các cải tiến cần thiết hoạt động theo dõi đo lƣờng  Tổ chức phải lƣu giữ thông tin dạng văn xem xét lãnh đạo, làm chứng cho thấy có xem xét tất nội dung đƣợc yêu cầu ISO/IEC 27001:2013, việc xem xét khơng địi hỏi phải có hành động cần thiết  Khi có nhiều xem xét lãnh đạo đƣợc thực cấp độ khác tổ chức chúng phải đƣợc liên kết với theo cách thích hợp 98 Điều 10 - Cải tiến Các hoạt động theo yêu cầu tiêu chuẩn:  Tổ chức phải đối ứng vấn đề không phù hợp, đánh giá chúng, thực việc khắc phục hành động khắc phục cần thiết Giải thích: 10.1 Sự khơng phù hợp hành động khắc phục  Sự không phù hợp không đáp ứng yêu cầu ISMS Yêu cầu nhu cầu mong đợi đƣợc tuyên bố, ngầm hiểu hay bắt buộc Có dạng khơng phù hợp nhƣ sau:  Không đáp ứng yêu cầu (toàn hay phần) ISO/IEC 27001 ISMS;  Thực không không phù hợp với yêu cầu, quy định hay biện pháp kiểm sốt đƣợc nêu ISMS;  Khơng tn thủ phần hay toàn với yêu cầu pháp luật, hợp đồng hay thỏa thuận với khách hàng  Một số ví dụ khơng phù hợp:  Nhân khơng thực quy trình hay sách theo quy định;  Nhà cung cấp không chung cấp sản phẩm, dịch vụ thỏa thuận/hợp đồng;  Các dự án không chuyển giao kết nhƣ mong đợi;  Không thực biện pháp kiểm sốt nhƣ quy định 99  Có thể nhận diện không phù hợp qua cách sau:  Thiếu hoạt động đƣợc tiến hành phạm vi ISMS;  Các biện pháp kiểm sốt khơng hiệu khơng đƣợc xử lý cách thích hợp;  Phân tích cố ATTT, cho thấy việc khơng đáp ứng yêu cầu ISMS;  Khiếu nại khách hàng;  Cảnh báo từ ngƣời dùng nhà cung cấp;  Các kết theo dõi đo lƣờng khơng đáp ứng với tiêu chí chấp nhận;  Không đạt đƣợc mục tiêu  Việc khắc phục nhằm giải tức thời không phù hợp hậu (mục 10.1.a., tiêu chuẩn ISO/IEC 27001:2013)  Hành động khắc phục nhằm loại bỏ nguyên nhân không phù hợp ngăn ngừa tái diễn (mục 10.1.b đến g., tiêu chuẩn ISO/IEC 27001:2013) Hướng dẫn:  Các cố ATTT không thiết ám xảy không phù hợp, nhƣng chúng thị/dấu hiệu không phù hợp Các đánh giá nội bộ, bên khiếu nại khách hàng nguồn quan trọng giúp nhận biết không phù hợp  Việc đối ứng với khơng phù hợp phải theo q trình xử lý đƣợc định sẵn Q trình phải bao gồm: 100  Nhận biết mức độ tác động không phù hợp;  Quyết định việc khắc phục để giới hạn tác động khơng phù hợp Việc khắc phục bao gồm việc chuyển sang trạng thái trƣớc trạng thái thích hợp khác Tổ chức phải cẩn trọng để việc khắc phục khơng làm cho tình trở nên xấu hơn;  Trao đổi thông tin với nhân liên quan để đảm bảo việc khắc phục đƣợc thực hiện;  Thực việc khắc phục định;  Theo dõi tình hình để đảm bảo khắc phục có hiệu nhƣ dự kiến khơng gây tác động phụ ngồi dự kiến;  Tiếp tục hành động để khắc phục khơng phù hợp chƣa đƣợc giải quyết;  Trao đổi thông tin với bên quan tâm liên quan, thích hợp  Việc khắc phục giải tức thời không phù hợp hậu nó, chƣa ngăn ngừa tái diễn, thế, tổ chức phải xem xét nhu cầu có hành động khắc phục khơng phù hợp, lúc sau hoàn thành việc khắc phục Tổ chức phải thực bƣớc sau đây:  Quyết định xem, liệu có cần thực hành động khắc phục, theo tiêu chí lập (ví dụ, tác động khơng phù hợp, tính lặp lại không phù hợp, );  Xem xét không phù hợp, cần cân nhắc về: - Liệu không phù hợp tƣơng tự đƣợc ghi nhận? 101 - Tất hậu tác dụng phụ gây không phù hợp; - Việc khắc phục thực  Thực phân tích kỹ lƣỡng ngun nhân gốc khơng phù hợp, cần cân nhắc về: - Sai lỗi gì, yếu tố kích hoạt hay tình cụ thể dẫn tới khơng phù hợp (ví dụ nhƣ sai lỗi ngƣời, phƣơng pháp, trình hay thủ tục, phần cứng hay phần mềm, đo lƣờng sai, mơi trƣờng, ); - Mơ hình chuẩn mực giúp nhận biết tình tƣơng tự tƣơng lai  Thực phân tích hậu tiềm tàng ảnh hƣởng đến ISMS, cần cân nhắc về: - Liệu không phù hợp tƣơng tự có tồn nơi/khu vực khác, ví dụ nhƣ qua việc sử dụng mơ hình chuẩn mực có phân tích ngun nhân; - Liệu nơi khác/khu vực khác có với mơ hình chuẩn mực xác định khơng, theo vấn đề cịn lại thời gian trƣớc xảy không phù hợp tƣơng tự  Xác định hành động cần thiết để khắc phục nguyên nhân, đánh giá xem hành động có tƣơng ứng với hậu tác động không phù hợp không, kiểm tra xem chúng khơng có tác động phụ dẫn tới không phù hợp khác rủi ro ATTT quan trọng không; 102  Hoạch định cho hành động khắc phục, xác định tính ƣu tiên, có thể, khu vực có khả tái diễn cao hậu không phù hợp nghiêm trọng Việc hoạch định phải bao gồm ngƣời chịu trách nhiệm cho hành động khắc phục thời hạn hoàn thành hành động khắc phục;  Triển khai hành động khắc phục theo kế hoạch;  Đánh giá hành động khắc phục xem chúng có thực giải đƣợc nguyên nhân không phù hợp không, liệu ngăn ngừa tái diễn không phù hợp liên quan không Việc đánh giá phải đảm bảo tính khách quan, cơng bằng, dựa chứng rõ ràng đƣợc lập thành văn Việc đánh giá phải đƣợc truyền đạt, thông báo đến vai trị bên quan tâm thích hợp  Kết thực khắc phục hành động khắc phục dẫn tới hội để khơng ngừng cải tiến ISMS, chúng phải đƣợc tiến hành cách nghiêm túc,  Tổ chức phải lƣu giữ đầy đủ thông tin dạng văn để chứng tỏ tổ chức giải không phù hợp cách đắn xử lý hậu liên quan Tất bƣớc quan trọng việc quản lý vấn đề không phù hợp (phân tích nguyên nhân, xem xét, định thực hành động, xem xét định thay đổi ISMS) phải đƣợc lập thành văn Ngoài ra, phải kèm theo chứng cho thấy hành động thực đạt đƣợc hiệu nhƣ dự kiện 103  Một số tổ chức lập biểu/sổ để đăng ký, theo dõi không phù hợp hành động khắc phục Việc thực thành nhiều biểu/sổ (ví dụ nhƣ lập, theo dõi theo cấp phịng ban, hay theo q trình) phƣơng tiện khác (lập sổ giấy, mở file điện tử để theo dõi hay ứng dụng phần mềm) Nếu vậy, biểu sổ phải đƣợc thiết lập đƣợc kiểm sốt nhƣ thơng tin dạng văn phải giúp hiểu đƣợc đầy đủ tất điểm không phù hợp hành động khắc phục để đảm bảo việc đánh giá xác nhu cầu có hành động  Tiêu chuẩn ISO/IEC 27001 không đề cập cụ thể yêu cầu "hành động phòng ngừa" Lý vì, mục đích hệ thống quản lý thức để tạo cơng cụ phịng ngừa Theo đó, tiêu chuẩn hệ thống quản lý ISO ban hành có chung yêu cầu việc đánh giá "các vấn đề bên ngồi nội có liên quan đến mục đích tổ chức có ảnh hƣởng đến khả tổ chức để đạt đƣợc kết dự kiến" mục 4.1, để "xác định rủi ro hội cần đƣợc giải để: đảm bảo ISMS đạt đƣợc kết dự kiến; để ngăn ngừa, giảm kết không mong muốn; để đạt đƣợc cải tiến liên tục" mục 6.1 Bởi vậy, hai yêu cầu đƣợc xem xét để bao quát cho khái niệm "hành động phịng ngừa" cho ta nhìn rộng rủi ro hội Các hoạt động theo yêu cầu tiêu chuẩn:  Tổ chức phải cải tiến thƣờng xuyên phù hợp, thỏa đáng tính hiệu lực ISMS 104 10.2 Cải tiến liên tục Giải thích:  Tổ chức bối cảnh tổ chức không trạng thái tĩnh hồn tồn Bên cạnh đó, rủi ro hệ thống thơng tin, cách thức mà theo chúng bị xâm phạm gia tăng nhanh chóng Cuối cùng, khơng có hệ thống ISMS tuyệt hảo mà ln ln có cách để hệ thống đƣợc tốt hơn, tổ chức bối cảnh tổ chức khơng có thay đổi  Khi tổ chức cải tiến liên tục phƣơng pháp tiếp cận có hệ thống giúp ISMS hiệu hơn, từ giúp cải thiện ATTT cho tổ chức Việc quản lý ATTT giúp cho hoạt động tác nghiệp tổ chức trở nên chủ động không bị động, nghĩa hầu hết nguồn lực đƣợc sử dụng để xác định giải vấn đề Lãnh đạo cao thiết lập mục tiêu cho cải tiến liên tục, ví dụ thơng qua việc đo lƣờng tính hiệu lực, chi phí độ chín muồi trình  Kết là, tổ chức xem ISMS nhƣ phần không ngừng đƣợc phát triển, học hỏi để tiến gắn kết với hoạt động kinh doanh Để giữ cho ISMS song hành với thay đổi, tổ chức phải thƣờng xuyên đánh giá xét mục đích, hiệu lực, đồng với mục tiêu tổ chức Hướng dẫn:  Cải tiến liên tục ISMS đòi hỏi việc hệ thống ISMS yếu tố hệ thống phải đƣợc đánh giá xét vấn đề bên nội (mục 4.1), yêu cầu 105 bên quan tâm (mục 4.2) kết việc đánh giá kết thực (điều 9) Việc đánh giá phải bao gồm phân tích về:  Sự thích hợp ISMS: xem xét liệu vấn đề bên nội bộ, yêu cầu bên quan tâm, mục tiêu ATTT thiết lập rủi ro ATTT nhận biết đƣợc đánh giá đầy đủ trình hoạch định thực ISMS biện pháp kiểm sốt ATTT hay khơng;  Tính thỏa đáng ISMS: xem xét liệu trình ISMS biện pháp kiểm sốt ATTT có tƣơng thích với mục đích tổng thể, hoạt động q trình tổ chức khơng;  Tính hiệu lực ISMS: xem xét liệu kết dự kiến ISMS dạt đƣợc chƣa, yêu cầu bên quan tâm đƣợc đáp ứng chƣa, rủi ro ATTT đƣợc quản lý để đạt mục tiêu ATTT chƣa, vấn đề không phù hợp đƣợc quản lý chƣa, nguồn lực cần thiết để thiết lập, thực hiện, trì cải tiến liên tục ISMS có tƣơng xứng với kết khơng  Việc đánh giá bao gồm việc phân tích hiệu ISMS yếu tố nó, xem xét liệu việc sử dụng nguồn lực có thích hợp khơng, liệu rủi ro mà khơng hiệu dẫn tới việc tính hiệu lực liệu có đƣợc hội để tăng hiệu lên không  Có thể nhận diện hội cải tiến qua việc quản lý không phù hợp hành động khắc phục Mỗi xác định đƣợc hội cải tiến, tổ chức phải (theo mục 6.1.1): 106  Đánh giá hội để khẳng định có đáng để khai thác hay khơng;  Xác định thay đổi ISMS yếu tố hệ thống để đạt đƣợc cải tiến;  Hoạch định thực hành động để khai thác đƣợc hội cách đảm bảo lợi ích thu đƣợc vấn đề không phù hợp không xảy ra;  Đánh giá tính hiệu lực hành động Lộ trình triển khai hệ thống quản lý ATTT theo ISO/IEC 27001:2013 Để triển khai thành công hệ thống quản lý ATTT theo ISO/IEC 27001:2013, việc xác định đắn mục đích thực quan tâm, cam kết lãnh đạo cấp cao tổ chức, doanh nghiệp, với việc chuẩn bị nguồn lực cần thiết để thiết lập, vận hành, cải tiến hệ thống điều kiện tiên Mỗi điều kiện đƣợc thỏa mãn, trình thực đƣợc thiết kế dựa theo chu trình P-D-C-A yêu cầu cụ thể tiêu chuẩn ISO/IEC 27001:2013 Hình 1-4 mơ tả tổng quan lộ trình thực hoạt động để xây dựng, áp dụng, đánh giá, cải tiến hệ thống quản lý ATTT theo ISO/IEC 27001:2013 hoàn thành giai đoạn đánh giá chứng nhận hệ thống tổ chức chứng nhận 107 Hình 1-4: Sơ đồ lộ trình triển khai hệ thống quản lý ATTT theo ISO/IEC 27001:2013 108 109